wbp

Privacy by Design (deel 3): Privacy geïntegreerd in het ontwerp

Deze blog maakt deel uit van een blogserie over Privacy by design. Vandaag kijken we naar het derde principe: Privacy embedded into design - privacy wordt een essentieel deel van de kernfunctionaliteiten.  

Veel ontwikkelaars willen ervoor zorgen dat de kernfunctionaliteiten van de software adequaat werken. Soms is het zo dat het beschermen van gegevens daarna pas van belang is. Privacy moet van het eerste ogenblik op het radarscherm van de software zitten. 

In de praktijk: Embedded Help

Onze embedded help is een voorbeeld van het integreren van privacy in het ontwerp. De in-software help vervult een belangrijke rol in de redesign van onze software. Deze help is er om nieuwe gebruikers op weg te helpen met de software of nieuwe functies aan bestaande gebruikers te laten zien. In onze online help verwijzen we regelmatig naar privacy en Wbp issues als het aankomt op persoonsgegevens.

Nieuwe gebruikers krijgen een online tour dat direct begint bij de eerste keer dat er ingelogd wordt. Ook als een gedeelte voor het eerst wordt bezocht krijgt een gebruiker de optie om eerst uitleg te krijgen over dat gedeelte van de software. Hierin wordt er op meerdere momenten expliciet aandacht geschonken aan de privacy van gebruikers bij het invoeren van persoonsgegevens (bijv. Let op: dit gaat om gevoelige gegevens ivm Wbp, ga daar zorgvuldig om. of Tip: als je je werkplaats voor een tijd verlaat log dan uit de software om te voorkomen dat iemand zonder toestemming persoonsgegevens kan inzien). 

Hiermee helpen we gebruikers om bewust te zijn over wat ze wel of niet moeten invoeren in de software als het gaat om persoonsgegevens.


 

Privacy by Design (deel 1): Voorkomen is beter dan genezen

Deze blog maakt deel uit van een serie blogs over Privacy by Design. In deze reeks gaan we steeds kort in op 1 van de 7 principes. Het eerste principe is "Proactive not reactive" . In dit principe gaat het om het proactief voorkomen van schendingen van privacy. Het gaat hier niet om 'damage control' nadat er een incident is geweest maar hoe je voorkomt dat een dergelijk incident gebeurt.

Met betrekking tot het programmeren van de software moeten ontwikkelaars preventieve technische maatregelen nemen voor de bescherming van persoonsgegevens. Uiteraard is een bedrijf zelf verantwoordelijk voor haar eigen processen om persoonlijke gegevens te waarborgen maar als software leverancier kun je al een heleboel fouten die soms nietsvermoedend worden gemaakt op dit gebied voorkomen. Hier zijn twee voorbeelden van waar het heel eenvoudig is om privacy preventief te beschermen:

  • Geef geen mogelijkheid. Een softwarepakket heeft een veld waarin iemands geloof of bijvoorbeeld kerkgenootschap genoteerd kan worden wat natuurlijk gevoelige persoonsgegevens zijn. Door dit simpelweg weg te halen voorkom je dat dit geregistreerd wordt. De gebruiker zou dit natuurlijk alsnog ergens kunnen registreren en de software hiervoor kunnen "misbruiken' maar je geeft er bewust geen ruimte voor.
  • Waarschuw. Voor het noteren van iemands zijn BSN geeft de software een waarschuwing waarmee de gebruiker een herinnering krijgt dat dit om gevoelige persoonsgegevens gaat en ook een waarschuwing dat je als organisatie wel bevoegd moet zijn. Een andere optie is dat de klant bewust moet aanvinken dat ze dit mogen doen en pas na deze handeling het BSN mogen invullen.

In de praktijk

De standaardinstelling voor een nieuwe gebruikersgroep is "geen toegang". Toegang moet actief worden verleend

De standaardinstelling voor een nieuwe gebruikersgroep is "geen toegang". Toegang moet actief worden verleend

Een voorbeeld van privacy by design in de praktijk bij KorènCRM is onze rechtenbeheer. Bij onze klanten zijn er verschillende gebruikersgroepen die gebruikmaken van de software. Bij het toevoegen van een nieuwe gebruikersgroep moeten alle rechten worden toegewezen. De standaardinstelling voor rechtenbeheer bij iedere gebruikersgroep is "Geen toegang" wat erop neerkomt dat er actief toestemming verleend moet worden in plaats van dat toestemming actief moet worden uitgezet. Hierdoor moet de applicatiebeheerder bewust bij een gebruikersgroep per module instellen waar de gebruikersgroep toegang toe heeft en wat ze na toegang voor acties kunnen ondernemen in de software. Er zijn vier opties:

A) Geen toegang
B) Alleen lezen
C) Kunnen wijzigen
D) Kunnen verwijderen

Hiermee kun je aangeven wat een gebruiker per module en ook per module-deel in de module kan doen. Sommige gebruikers zullen bijvoorbeeld NAW gegevens kunnen aanpassen maar misschien niet bankgegevens en weer andere gebruikers kunnen relaties alleen lezen. Sommige kunnen bulkmail versturen, anderen mogen dat wel doen maar mogen geen ledenpas bulkmail versturen omdat ze deel uitmaken van de cursusafdeling van een organisatie. Deze laatste groep krijgt als startpagina de cursusmodule en kan niet bij andere modules kijken of iets wijzigen. 

 

Functionaris voor de Gegevensbescherming

Functionaris voor de gegevensbescherming

Het is vanaf 25 mei 2018 straks een verplichting in een aantal situaties. Iedere organisatie die persoonsgegevens verwerkt onder bepaalde omstandigheden moet straks een Functionaris voor de Gegevensbescherming (FG), ook wel Data Protection Officer genoemd, aanstellen. Wat houdt dit in?
Wij hebben enkele handige links op een rijtje gezet zodat je weet wat dit inhoud en wat je als organisatie eventueel voor actie moet ondernemen. Heb je zelf nog handige tips of links, geef ze aan ons door in een comment hieronder of stuur ons een mail dan voegen we je tip/link toe.

  • Handige online check van brancheorganisatie Nederland ICT om te zien of je organisatie een FG nodig heeft.
  • Vanuit de E.U.  Artikel 29 Werkgroep de FAQ ten aan zien van de AG (hier Data Protection Officer/DPO genoemd)
  • Hier krijg je een goed overzicht over wanneer het in mei 2018 wel en niet verplicht is om een FG aan te stellen.
  • Infopagina van de Autoriteit Persoonsgegevens zelf met een beknopt overzicht van o.a. de taken, eisen en bevoegdheden mbt een FG. 
  • Deze website geeft goed weer wat de voordelen zijn van het aanstellen een FG. 
  • De VNG (Vereniging van Nederlandse Gemeenten) heeft twee inhoudelijk sterke handreikingen gepubliceerd, één over de rol en taken van de FG en één andere over de positionering van de FG. Hoewel de handreikingen natuurlijk zijn toegespitst op gemeentes is het ook zeker de moeite waard om door te nemen met name op gebied van de onafhankelijkheid van de FG.
  • Lees de factsheet van ICTRecht over de AVG (Algemene Europese Verordening Gegevensbescherming) in het algemeen.

Wanneer is het verplicht?

 


Kort samengevat is het in deze gevallen verplicht:

1. Voor overheidsinstanties (met uitzondering van de rechterlijke macht)

2. Organisaties waar het vanwege de aard van de verwerking van persoonsgegevens verplicht is. Denk hierbij aan het regelmatig en structureel observeren van data mbt betrokkenen. 

3. Bij grootschalige verwerking van bijzondere (en strafrechtelijke)  persoonsgegevens; Hieronder vallen onder anderen politieke voorkeur, seksuele geaardheid, ras en gezondheidsinformatie. 

 

 

 

 

 

 

 

 

 

Security Online - 10 Gebruiker Tips

security tips voor gebruikers

Security is belangrijker dan ooit, en terecht. Het nieuws staat regelmatig bol met de zoveelste datalek of kritieke beveiligingsissue. Als SaaS leverancier is het onze verantwoordelijkheid om te zorgen voor de juiste organisationele en technische maatregelen ter bescherming. Daarmee komen we in heel eind in het veiligstellen van je data. Maar als gebruiker heb je ook een verantwoordelijkheid hierin. 

Soms kunnen datalekken ontstaan en virussen propageren door fouten van gebruikers. Hier zijn enkele simpele tips die als gebruiker een hoop ellende kunnen besparen.

  1. Datalek op papier - Een datalek op papier komt vaker voor dan je zou denken. Ondanks de toenemende digitalisering keert de verleiding en soms ook de noodzaak om iets te printen steeds weer terug. Zorg als gebruiker er dus voor dat je al je papier vernietigd en niet zomaar bij het oud papier zet. Laat ook nooit een adressenlijst rondslingeren op kantoor. Wees hier zorgvuldig mee.

  2. Opgepast, cryptolockers! - Bepaalde virussen (ook cryptolockers genoemd) worden verspreid door eenvoudige alledaagse documenten zoals een pdf file of word document als een bijlage in een email. Open nooit zomaar dit soort documenten als je deze ontvangt. Wees kritisch, een gezonde dosis argwaan kan veel schelen. Wie is de afzender? Is het noodzakelijk om dit document te openen? Zorg voor een up-to-date virusscanner en download geen documenten uit onbekende bronnen. 

  3. Beveiligde verbinding - Zorg ervoor dat als je interactieve webforms hebt op je website, dat de site https (vb: https://example.com vs. http://example.com) beveiligd is. Als dit niet zo is kan er in principe door ongewenste derde partijen over je schouder mee worden gekeken. Mocht je dit zelf niet kunnen vraag het dan aan je websitebeheerder/bouwer. Die zou dit eenvoudig moeten kunnen regelen. Ook voor je Google ranking is dit van belang.

  4. Webcam afdekken - Het is verstandig om de ingebouwde webcam op je laptop/pc af te dekken. Weliswaar is de kans klein maar om te voorkomen dat iemand toch via je webcam meekijkt is het handig om deze af te dekken als je deze niet gebruikt.

  5. Encryptie - Pas op met het bewaren van persoonsgegevens op een USB stick, laptop of ander medium. Als je dit doet zorg er dan voor dat het medium minstens met alleen met een wachtwoord toegankelijk is. Nog beter is het als het medium geheel encrypted, met andere worden versleuteld wordt. Er zijn diverse online tools om dit te doen. Onze tip voor je organisatie: Veracrypt.  

  6. Verdachte links - Klik niet zomaar op links in mails en vul nooit je wachtwoord zomaar ergens in. Het lijkt logisch maar toch gebeurt het te vaak, zelfs op hoog niveau met grote gevolgen.

  7. Screenshots - Pas op met het versturen van screenshots. Op een screenshot kan onbedoeld gevoelige informatie zitten, bijvoorbeeld wachtwoorden, persoonsgegevens of geheime bedrijfsinformatie. Dit is het ook geval met foto's.

  8. Lockscreen - Als je je werkplaats verlaat zet je scherm op slot (Windowstoets+L). Extra bonus is dat je collega's niets kunnen uithalen met je pc ;-)

  9. Two factor authentication - Onze software maakt gebruik van two factor authentication. Dit betekent dat er een extra stap nodig is voor toegang tot de software naast een correct wachtwoord invullen. Je krijgt dan een extra token of code die je moet invullen. Af en toe moet je dit dan opnieuw doen voor verificatie. Steeds meer online applicaties zoals Google & WhatsApp maken hier gebruik van. Als een stuk software deze optie heeft, maak hier dan gebruik van. Dit kun je meestal eenvoudig instellen.

  10. Wachtwoorden - Maak je wachtwoorden naast complex ook lang. Zorg ervoor dat je wachtwoord niet enkel uit cijfers of letters bestaat. Maak een combinatie van cijfers, letters en leestekens. Het is verstandig om geen geboortedata, voor of achternamen, cijferreeks of woord te gebruiken.  Lees hier onze gids om een veilig wachtwoord te creëren en doe de wachtwoord check hier.

Privacy 101 - het begint bij de gebruiker

Privacy by design

Met oog op de Wbp (wet bescherming persoonsgegevens) is het belangrijk om zorgvuldig om te gaan met de privacy van je relaties. Wat registreer je van wie? En waarom? Heb je daar wel de bevoegdheid toe? Het zijn allemaal vragen die belangrijk zijn om jezelf als organisatie af te vragen.

Bepaalde gevoelige persoonsgegevens mag je niet zomaar registeren zoals de Stemwijzer vorige maand ondervond. In dit geval ging het om het registreren van iemands politieke voorkeur. Andere voorbeelden van bijzondere persoonsgegevens zijn levensovertuiging, gezondheid of ras. Je moet een gegronde reden en toestemming nodig om dit soort zaken te registreren. Gebruikers moeten zich hier bewust van zijn. 

Privacy by design

Bij het ontwikkelen van software houden we het principe 'privacy by design' altijd in ons achterhoofd. Concreet betekent dit bijvoorbeeld dat we de mogelijkheden om bepaalde zaken te registreren bijvoorbeeld beperken, verwijderen of een waarschuwing erbij geven (Bijv: Let op: gevoelige persoonsgegevens). Ook het rechtenbeheer in de software is een belangrijke tool hierin. Hiermee kun je binnen de organisatie gebruikers of gebruikersgroepen bepaalde rechten geven of ontnemen in de software. Als je softwarepakket dit soort tools heeft, gebruik ze dan ook.   

Wij adviseren onze klanten om allereerst na te vragen wat de noodzaak is van het registreren van iets. Pas als daar een goed antwoord op is kun je verder kijken wat de (on)mogelijkheden zijn met oog op de Wbp.

Als het gaat om het bewaren van gegevens is er natuurlijk "the right to be forgotten" of "vergeetrecht". Relaties hebben het recht om persoonsgegevens die bij jouw als organisatie bekend zijn te laten verwijderen.  

Jouw relaties mogen ten alle tijden de persoonlijke gegevens die bij jou bekend zijn opvragen en wettelijk ben je verplicht om dit verzoek te honoreren. Om dit te vergemakkelijken voor onze klanten hebben ze de mogelijkheid om via een gratis webapp deze mogelijkheid aan hun relaties aan te bieden. Hiermee kunnen relaties zelf hun gegevens inzien. Hiermee voldoe je eenvoudig aan deze eis en kost het je weinig moeite als organisatie.

Aandacht voor privacy is belangrijk omdat het niet om cijfers gaat. Het gaat om mensen en het recht op privacy als het gaat om hun persoonlijke situatie. Het begint dus bij je instelling als gebruiker. Ga zorgvuldig om met de persoonsgegevens die je zijn toevertrouwd.